隐私风险管理中的数据过度暴露策略

你的组织可以在不同访问级别存储内容,包括可公开访问的区域和其他受限区域。 数据过度暴露策略可帮助你检测和处理组织存储的数据不够安全的情况。 例如,如果对内部网站的访问权限对太多人开放,或者未维护您的权限设置,则存储在该站点上的个人数据可能容易受到泄露。 数据过度暴露策略可以评估数据是否存在这些风险,并提醒你注意潜在问题。

检测到策略匹配项后,可以向用户发送电子邮件通知,其中包含用于解决问题的修正选项。 对于数据过度暴露,这些包括将内容项设置为私有、通知内容所有者或标记项目以供进一步查看。

我们的策略设置过程可以轻松设置策略条件。 你可以完全控制提醒时间和电子邮件的频率,这些电子邮件可让用户注意安全数据处理做法。

可以通过两种方式创建策略:从 模板创建策略,这是使用默认设置的快速“现成”选项;或 自定义 选项,这是设置条件、警报和通知的引导式过程。

快速设置:使用具有默认设置的模板

默认数据过度暴露策略评估所有三个访问级别的个人数据:公共、外部和内部。

按照以下步骤创建默认数据传输策略:

  1. Microsoft Purview 合规门户,在左侧导航中找到Priva 隐私风险管理,然后选择“策略”。

  2. 选择屏幕右上角的“ 创建策略 ”,此时会显示一个浮出控件窗格,其中列出了所有策略创建选项。

  3. “数据过度暴露 ”框中,选择“ 创建”。

  4. 浮出控件窗格包含策略详细信息。 选择“ 查看设置” 将显示默认设置。 可以从此处编辑设置,这会引导你进入下面概述的引导过程。 若要继续使用默认设置创建策略,只需输入描述性名称,然后选择“ 创建策略”。

策略将创建,并会在 “策略 ”页面上列出。 它以 测试模式 开始,因此你可以在将其打开之前监视其执行方式。

默认数据过度暴露策略设置

从模板创建的数据过度暴露策略将检测:

  • 当用户提供对包含存储在组织的 OneDrive 或 SharePoint 中的个人数据的项目的过度广泛访问权限时。 例如,该策略将通过以下方式检测个人数据的共享:
    • 通过公众中任何人都可以访问的链接
    • 通过链接或因为允许组织中的每个人访问的权限
    • 向外部用户或来宾授予对 OneDrive 或 SharePoint 文件的访问权限
  • 基于以下 分类组的数据类型:
    • 欧盟一般数据保护条例 (GDPR)
    • 美国个人身份信息
    • 美国爱国者法案
    • 美国州违反通知法
    • 美国格拉姆-利奇-布莱利法案 (GLBA)
    • 美国健康保险可移植性和责任法案 (HIPAA)
    • 澳大利亚健康记录法 (HRIP)
    • 澳大利亚隐私法案
    • 日本个人身份信息
    • 日本个人信息保护

自定义设置:引导式策略创建过程

自定义策略选项是一个引导式过程,通过设置条件、指定警报严重性和频率以及打开用户电子邮件通知来创建新策略。

完成以下步骤以创建新的数据过度暴露策略:

  1. Microsoft Purview 合规门户,在左侧导航中找到Priva 隐私风险管理,然后选择“策略”。

  2. 选择屏幕右上角的“ 创建策略 ”按钮,其中会显示一个浮出控件窗格,其中列出了所有策略创建选项。

  3. “自定义 ”框中,选择“ 创建”。

  4. “名称和类型 ”页上,选择“ 数据过度暴露 ”策略模板。 在“策略”页上输入有助于轻松识别其列表中的 策略 名称,并输入可选说明,然后选择“ 下一步”。

  5. “要监视的数据 ”页上,选择策略要监视的个人数据的类型。 有两个选项:

    • 分类组:用于检测与个人数据或特定法规相关的内容的敏感信息类型的分组。 如果选择此选项,则需要选择“ +添加分类组 ”,从提供的列表中选择一个或多个组。
    • 单个敏感信息类型:选择此选项可从单个 敏感信息类型的列表中选择。

    详细了解如何 选择要监视的数据。 选择要监视的数据后,选择“ 下一步”。

  6. “用户和组 ”页上,选择要应用策略的组织中的哪些用户。 可以选择所有单个用户和所有Office 365通讯组,也可以选择特定的用户和组。 详细了解 如何选择用户和组。 完成时选择“下一步”。

  7. 在“ 位置 ”页上,选择希望策略涵盖的 Microsoft 365 中的所有数据位置。 从 OneDrive 帐户和 SharePoint 网站中进行选择。

    在 SharePoint 中,可以指定所有网站或特定网站。 如果选择“ 特定 SharePoint 网站”,则可以在“URL”字段中输入网站 URL。 还可以选择“ +选择网站”,然后在浮出控件窗格中选中要选择的网站名称左侧的框。

    详细了解 如何选择位置。 选择完位置后,选择“ 下一步”。

  8. 在“ 条件 ”页上,选择策略将检测的数据类型过度暴露条件:

    • 公共:具有链接的任何人都可以访问内容。
    • 外部:组织外部的特定人员具有访问权限。
    • 内部:组织中的所有用户都具有访问权限。

    选择多个访问级别将扩大数据范围,并可能产生大量警报和用户通知。

    在所选选项旁边的框中添加一个复选框,然后选择“ 下一步”。

  9. “结果 ”页上,决定是否在用户与策略设置的条件匹配时通知用户。 如果选中“电子邮件通知”框,当用户的操作与策略条件匹配时,将收到电子邮件通知。 电子邮件将包含直接从电子邮件执行修正操作的说明,以及隐私培训的链接。 你将为首选隐私培训指定电子邮件频率和 URL。

    详细了解如何设置 用户通知。 完成选择结果后,选择“ 下一步”。

  10. “警报”页上,使用切换开关打开管理员将在隐私风险管理的“策略”部分的“警报”页上看到的警报。 你将指定生成警报的频率、生成警报之前的匹配阈值以及警报严重性。 详细了解 如何为策略匹配设置警报。 完成时选择“下一步”。

  11. 在“ 模式 ”页上,决定是否要在首次创建策略时在测试模式下运行策略,这意味着不会发送任何警报或通知。 若要使策略保持测试模式(建议),请选择切换开关以设置为 “打开 ”位置。 详细了解 如何测试策略

注意

如果将 “在测试模式下运行” 开关切换到 “关闭” 位置, 则会在创建完策略后将其打开 。 这意味着,在检测到匹配项后,设置的任何警报或用户通知都将开始生成。

  1. “完成” 页上,查看你的选择。 选择任意部分下方的 “编辑 ”以调整设置。 如果对策略的设置感到满意,请选择“ 提交 ”以创建策略。

几秒钟后,你将看到已创建策略的确认信息。 在确认页上选择“ 完成 ”,这会将你带到 “策略 ”页,你将在表格顶部看到新策略。

后续步骤

有关如何编辑和管理策略的详细信息,请访问 隐私风险管理策略